今週は4本のニュースを取り上げます。Microsoftが5月の定例パッチを公開し、138件の脆弱性のうち30件が「緊急」に分類されています。Cisco Catalyst SD-WANではCVSSスコア10.0のゼロデイ脆弱性が実際に悪用されており、VPNやネットワーク機器を管理している企業は至急対応が必要です。また、クラウドファンディングのCAMPFIREでGitHub不正アクセスによる22万人超の個人情報漏えいが確認されており、口座情報も含まれる深刻な事案です。各ニュースの推奨対応をご確認ください。
NEWS 01
IPA / JPCERT/CC | 2026年5月13日
Microsoft5月定例パッチ公開、138件の脆弱性対応・30件が「緊急」
Microsoftは2026年5月13日(日本時間)に5月の月例セキュリティ更新プログラムを公開しました。今月は138件の脆弱性に対応しており、そのうち30件が最高深刻度「緊急」に分類されています。IPAおよびJPCERT/CC(at260012)も同日、注意喚起を発出しました。
CVSS9.8以上の4件が特に危険です。Windows DNSクライアント(CVE-2026-41096)、Windows Netlogon(CVE-2026-41089)、Dynamics 365(CVE-2026-42898)、Azure Logic Apps(CVE-2026-42823)は認証なし・ユーザー操作なしで悪用可能です。影響製品はWindows OS・Office・SharePoint・Teams・SQL Server・Azureと幅広いです。
権限昇格57件、リモートコード実行29件、情報漏えい9件、サービス拒否8件など、多岐にわたる脆弱性が含まれています。
▌中小企業への影響
Windows PCやOfficeを使用しているすべての企業が対象です。社内のPC1台でもパッチ未適用があると、そこを起点に社内ネットワーク全体への横展開攻撃のリスクがあります。Microsoft 365利用企業はTeams・SharePoint関連の脆弱性も確認が必要です。
▌推奨対応(今週中に実施)
- → Windows Updateを手動実行し2026年5月分が適用済であることを確認する
- → 社内全端末の更新状況を一括確認する
- → SharePoint Server自社運用の場合はサーバー側のパッチ適用を優先する
- → Microsoft 365は自動更新が基本だが、Teams・デスクトップ版Officeのバージョンを確認する
NEWS 02
Cisco / Help Net Security | 2026年5月15日
Cisco Catalyst SD-WANにCVSS10.0のゼロデイ、認証バイパスで管理者権限奪取・悪用事例あり
Ciscoは2026年5月15日、Catalyst SD-WAN ControllerおよびSD-WAN Managerに存在する認証バイパスの脆弱性(CVE-2026-20182)を公開しました。CVSSスコアは最高値10.0であり、認証なしのリモート攻撃者がシステムの管理者権限を取得できます。Cisco PSIRTは実際の攻撃で限定的に悪用されていることを確認しています。CISAはKEV(悪用確認済み脆弱性カタログ)に追加し、米連邦機関に5月17日までの修正期限を設けました。
ピアリング認証メカニズムの不備に起因し、攻撃者は細工したリクエストを送信するだけで内部高権限アカウントとしてログインし、NETCONFを通じてSD-WANファブリック全体を操作できます。回避策(ワークアラウンド)はなく、修正済みバージョンへのアップグレードのみが対策です。
同月、Cisco Catalyst SD-WANには別の認証バイパス脆弱性も公開されており、SD-WAN関連製品を運用している組織は複数の脆弱性を同時に確認する必要があります。
▌中小企業への影響
Cisco Catalyst SD-WAN製品を拠点間VPNやネットワーク管理基盤として導入している企業が対象です。CVSS10.0かつ実悪用確認済みのため、利用企業は即時対応が必要です。対象製品を把握していない場合はIT担当者またはネットワーク機器ベンダーに確認してください。
▌推奨対応(確認次第、即時対応)
- → Cisco Catalyst SD-WAN Controller/Managerを運用しているか社内IT担当者に確認する
- → 対象製品を運用している場合はCiscoアドバイザリ(cisco-sa-sdwan-rpa-EHchtZk)で修正版を確認し即時アップグレード
- → 管理画面アクセスを信頼できるIPのみに制限し、インターネットから直接アクセスできないよう設定を見直す
- → マネージドサービス利用の場合はサービスプロバイダーに対応状況を確認する
NEWS 03
CAMPFIRE / ITmedia | 2026年4月24日発表
CAMPFIRE、GitHub不正アクセスで最大22万5,846人の個人情報漏えい・口座情報も含む
クラウドファンディング国内最大手の株式会社CAMPFIREは2026年4月24日、GitHubアカウントへの不正アクセスを起点とした個人情報漏えいを公表しました。漏えい対象者は最大22万5,846人で、プロジェクト実行者の氏名・住所・電話番号・口座情報(12万929件)、支援者の同情報(13万155件)が含まれます。このうち8万2,465件が銀行口座情報を含む高感度情報です。
2026年4月2日にシステム管理用GitHubアカウントへの不正アクセスが発生。ソースコード内にデータベース接続情報やAPIキーが含まれていたことが被害拡大の直接要因です。マネーフォワードでも類似のGitHub経由漏えいが同時期に報告されており、ソースコードへの認証情報混入が国内企業共通の課題として浮上しています。
▌中小企業への影響
CAMPFIREで資金調達を行ったことがある企業・個人は、登録口座情報が漏えいしている可能性があります。GitHubなどのコード管理ツールを利用している場合、リポジトリ内にパスワード・APIキー・接続情報が含まれていないかの確認が急務です。
▌推奨対応
- → CAMPFIRE利用者は公式サポートページで漏えい対象者かどうかを確認し、登録口座の利用明細を確認する
- → コード管理ツール利用の場合、リポジトリ内にパスワード・APIキー・接続文字列が含まれていないかをgit-secretsやtruffleHogで確認する
- → 機密情報は環境変数または専用のシークレット管理ツールに分離して管理する
- → GitHubのプライベートリポジトリでも、アクセス権限を持つメンバーのアカウント保護(多要素認証)を必ず有効にする
NEWS 04
JPCERT/CC | 2026年4月13日(悪用確認済み)
Adobe AcrobatのゼロデイCVE-2026-34621、悪用確認済み・JPCERT/CCが緊急注意喚起
JPCERT/CCは2026年4月13日、Adobe AcrobatおよびAdobe Readerに深刻な脆弱性が存在するとして注意喚起(at260009)を発出しました。対応するAdobe製品セキュリティ情報はAPSB26-43です。Adobeは脆弱性(CVE-2026-34621)がすでに実際の攻撃で悪用されていることを確認しており、JPCERT/CCも「今後脆弱性を悪用した攻撃が広く行われる可能性がある」として速やかな更新を強く求めています。
CVE-2026-34621はAdobe Acrobat/Readerに存在するゼロデイ脆弱性です。細工されたPDFファイルを開くだけで任意のコードが実行される可能性があります。影響を受けるバージョンはAcrobat DC(26.001.21367以前)・Acrobat 2024(24.001.30356以前)で、修正済みバージョン(Acrobat DC 26.001.21411)への更新が必要です。
PDF閲覧・作成に広く使われているAdobe Acrobat/Readerの悪用確認済みゼロデイです。未更新の状態で業務上PDFを受け取ることは高リスクです。
▌中小企業への影響
Adobe Acrobat/Readerをインストールしているすべての端末が対象です。悪用が現実に起きているゼロデイのため「いずれ対応する」では間に合いません。取引先から届くPDFや添付PDFを日常的に開く業務環境では特にリスクが高い状態です。有償版(Acrobat)・無償版(Reader)の両方が対象です。
▌推奨対応(至急実施)
- → Adobe Acrobat/Readerを起動し、ヘルプ→「アップデートを確認」から最新バージョン(26.001.21411以降)へ更新する
- → 社内全端末の更新状況を確認する
- → 更新が完了するまで、不審なメールに添付されたPDFを開かず、送信元に別の手段で確認を取る
- → Adobe Acrobatを業務で使用していない場合はアンインストールし、攻撃対象領域を削減する
編集部まとめ
今週はMicrosoftの大規模パッチ(138件)を筆頭に、実悪用が確認されたCisco SD-WANのゼロデイ、GitHubを起点とした22万人超の情報漏えい、Adobe Acrobatの悪用確認済みゼロデイと、緊急性の高い案件が重なった週です。WindowsのWindows Updateは今週中に完了させてください。
CAMPFIRE事案は、ソースコード管理ツールに機密情報を混入させることのリスクを改めて示しています。GitHubなどを社内で利用している場合は、現在のリポジトリに認証情報が含まれていないかを確認する機会にしてください。
secure